【51CTO.com獨家翻譯】今年，在美國圣保羅召開的secure360會議上，SANS研究院的研究總監(jiān)MN Alan Paller解釋了在保持政府部門和私營部門的IT系統(tǒng)安全運行方面美國還缺少哪些東西。

Paller表示，保護系統(tǒng)免于攻擊的主要問題不是技術的問題，而是“人”的問題。我們需要培訓更多精通各種安全技巧（黑客技術、滲透測試、應用程序安全、密碼學，以及網(wǎng)絡流量監(jiān)測等技巧）的人?！爱斏婕暗侥承┘记蓵r，比如數(shù)據(jù)包深度監(jiān)測，我們就會面臨很大的問題，”Paller在他的主題演講中指出，“實際上這是一個嚴重的全國性問題?！?/P>

如果新聞報道中出現(xiàn)了政府機構以及公共企業(yè)的數(shù)據(jù)泄漏事件（比如今年早些時候那些攻擊Google、Adobe和100家其他公司的事件），那么就說明“嚴重的全國性問題”這種說法似乎只稱得上是輕描淡寫而已。除了這些事件本身，我們似乎正在像零售行業(yè)泄漏信用卡數(shù)據(jù)一樣迅速地泄漏國家機密和公共企業(yè)的知識產(chǎn)權。

那么Paller建議我們該做什么呢？Paller指出，我們應該尋找那些最好的以及最聰明的人員來應對這個挑戰(zhàn)，而不應該只憑一些備受質疑的安全認證證書來選拔人才。關于這一點，我也同意：那些認證證書并不會顯示一個人有多少能力，或者一個人有多擅長他的工作。

發(fā)現(xiàn)人才的一種方法是通過比賽進行選拔，比如U.S. Cyber Challenge比賽?！坝胁拍艿娜藭诟傎愔忻摲f而出，”他表示。

那么，對于政府機構或者公司來說，建立并部署一個天才團隊的最好辦法是什么呢？Paller表示，需要一個經(jīng)歷過高水平培訓的安全專家小組，包括應用程序安全、滲透評估、網(wǎng)絡安全等各個方面的培訓。安全小組還需要經(jīng)過交叉培訓，具備企業(yè)所需要的各種技巧。這些都是必備的因素，除非你想繼續(xù)成為黑客容易攻擊的目標。

今年的Secure 360會議是從Rich Mogul的報告“安全行業(yè)如何才能真正有效（Putting the Fun in Dysfunctional: How the Security Industry Really Works）”而開始的。他的發(fā)言主題是利用經(jīng)濟學和心理學知識來分析安全行業(yè)所發(fā)生的事情。

有些內(nèi)容引起了我的注意：
我們作為一個行業(yè)在殺毒軟件和防火墻上面的投入比其他所有安全保護產(chǎn)品的總和還要多。

許多企業(yè)都是“被動做出反應的，但不是主動去應對?！?像其他人一樣，Rich也喜歡提醒人們，安全事件的應對比其他大多數(shù)事情都重要；你可以不配置DLP工具（在這里只是舉個例子，無意冒犯各位出席會議的DLP供應商），但是你必須具備處理突發(fā)事件的能力。

比起長期風險，我們能夠更好的處理短期風險；“害怕—反應—購買產(chǎn)品”這種局面似乎是大多數(shù)企業(yè)在應對安全事件時的全部步驟，但是牢固的規(guī)則遵從重新將經(jīng)濟驅動因素結合在了一起，得出了一個結論——審計風險反而大于攻擊風險。這一點很有趣，根據(jù)他的觀點企業(yè)只需要注意法律和監(jiān)管規(guī)則就可以了，因為如果違反了的話，那些都會導致直接的處罰。

我以前從Securosis公司那里聽到一種奇怪的觀點：“讓我們在安全方面更好”不會對賣掉安全工具和服務有幫助，就算產(chǎn)品質量比現(xiàn)在的好很多也不行。其實，這些產(chǎn)品的賣點是害怕安全威脅，或者說害怕黑客攻擊和罰款。

接下來，Marcus Ranum做了一次名叫“軟件戰(zhàn)略問題（Software as a Strategic Problem）”的演講，內(nèi)容發(fā)人深省，當然也會引起某些爭論。其主要思想是：對于超級敏感的政府或國家安全來說，COTS以及外包軟件開發(fā)都是錯誤的。國家的機構需要回到雇傭、保持和使用內(nèi)部員工的方法。他認為，這是唯一能夠避免未來遭遇嚴重安全問題的方法。他曾經(jīng)對比過兩種方法：“從頭開始編寫軟件以解決問題”與“使用非常靈活的COTS軟件并花費資源進行永久的配置，以后再對其進行配置?！彼€呼吁這種定制軟件一定要著眼于“零維護和零管理”。

最后，Marcus顯然對于美國政府沒有為Windows開啟后門程序而感到失望，因為這似乎錯失了很容易主導世界的機會。關鍵引述如下：“如果美國想要在全球經(jīng)濟中保持競爭力，并阻止外界對其戰(zhàn)略、企業(yè)以及商業(yè)網(wǎng)絡的廣泛滲透，那么企業(yè)和政府機構應該停止對商業(yè)軟件的依賴，并回到自己編寫代碼的時代?！?/P>

另一名研究人員Gal Shpantzer在會上還介紹了USB隔離問題。其主要思想是：鑒于大多數(shù)電腦都極易被黑客控制，我們怎么還在使用它們?nèi)ヌ幚碇T如銀行業(yè)務等敏感應用呢？他還對一些常見的處理方式進行了一番回顧：比如使用專用PC、“泡沫（bubble）”方法，以及USB啟動方法等。

Secure360由美國中西部安全聯(lián)盟（Upper Midwest Security Alliance）籌劃，它是一個由安全職業(yè)人員組成的非盈利性組織，為公眾提供價格適宜的世界一流安全技巧、思想和實踐，以便提高中西部地區(qū)商業(yè)、政府以及基礎設施的安全水平。

原文標題：Secure360: Why Are We Losing The Struggle To Secure IT Systems?  作者：George Hulme